double arrow

СИСТЕМА БЕЗОПАСНОСТИ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS NT

Внешний урованеь защиты ОС:

· возможность для администратора настраивать доступ к тем или иным ресурсам пользователей и групп пользователей;

· настройка параметров учетных записей, парметров авторизации;

· настройка пользователями прав доступа к соответствующим данным.

Глубинный уровень безопасности:

· шифрование в системе данных, подлежащих защите;

· разделение физической и виртуальной памяти для предотвращения доступа к данным не имеющими на это права пользователями и приложениями.

Функции безопасности Windows NT:

· Информация о доменных правилах безопасности и учетная информация хранятся в каталоге Active Directory.

· В Active Directory поддерживается иерархичное пространство имен пользователей, групп и учетных записей машин (учетные записи могут быть сгруппированы по организационным единицам).

· Административные права на создание и управление группами учетных записей пользователей могут быть делегированы на уровень организационных единиц (возможно установление дифференцированных прав доступа к отдельным свойствам пользовательских объектов).

· Тиражирование Active Directory позволяет изменять учетную информацию на любом контроллере домена, а не только на первичном (копии Active Directory, хранящиеся на других контроллерах домена, обновляются и синхронизируются автоматически).

· Доменная модель изменена и использует Active Directory для поддержки многоуровневого дерева доменов (управление доверительными отношениями между доменами упрощено в пределах всего дерева доменов).

· В систему безопасности включены новые механизмы аутентификации, такие как Kerberos v5 и TLS (Transport Layer Security), базирующиеся на стандартах безопасности Интернета.

· Протоколы защищенных каналов (SSL 3.0/TLS) обеспечивают поддержку надежной аутентификации клиента (осуществляется сопоставление мандатов пользователей в форме сертификатов открытых ключей с существующими учетными записями Windows NT).

В состав Windows NT входит Microsoft Certificate Server, позволяющий выдавать сотрудникам и партнерам (т.е. локальным и удалённым пользователям) сертификаты по протоколу Х.509. Системные администраторы могут указывать, сертификаты каких пользователей являются насколько доверяемыми в системе и, таким образом, контролировать аутентификацию доступа к ресурсам.

Напрашивается вопрос – зачем эта система, ведь она на первый взгляд дублирует базовую систему аутентификации на основе учётных записей. Дело в том, что сертификаты соотносятся с существующими в домене/системе учётными записями, через которые, согласно сертификату, могут быть авторизованы пользователи, не имеющие учетных записей

В распоряжении пользователей находятся простые средства управления парами закрытых (открытых) ключей и сертификатами, используемые для доступа к ресурсам системы.

Потоки же, инициируемые различными пользователями, получают цифровые подписи согласно их сертификатам, что позволяет осуществлять текущую проверку прав доступа.


Сейчас читают про: